◆經濟導報記者 劉勇
《網絡安全實踐指南——移動互聯網應用基本業(yè)務功能必要信息規(guī)范》(下稱《規(guī)范》)近日在全國信息安全標準化技術委員會官網公布�����,界定了社交、金融借貸�、網約車、短視頻等16類常用移動APP收集用戶必要信息的范圍���,要求即時通訊社交、社區(qū)社交�、金融借貸APP不應強制讀取用戶通訊錄。
“這只是萬里長征第一步�����,未來還應出臺專門的個人信息保護法,對個人信息保護的規(guī)定加以細化���。”濟南華星信息安全技術有限公司總經理劉華星�����,接受經濟導報記者采訪時表示�。
“綁架”用戶的APP
隨著移動互聯網的快速發(fā)展���,各種APP呈爆發(fā)式增長���。手機APP在給人們帶來便利的同時,也帶來了許多困擾��。部分手機APP過度收集��、違規(guī)使用個人信息一直被詬病�����。
“說實話,如果不是因為工作原因要使用各種APP�,我都想用老式手機,能打電話�����、發(fā)短信就行��。”提起各種手機APP軟件�,濟南市民王文遠是又恨又愛,“因為移動互聯網的發(fā)展���,各種APP確實給我?guī)砹吮憷�����,但也在偷偷拿走我的隱私�。”
王文遠告訴經濟導報記者��,很多軟件在注冊或者第一次啟動時�,總是會讓人們同意各種隱私條款和政策。包括他在內的絕大部分人�����,并不會真正地去細細查看這些隱私條款����,而是直接點擊“同意”。
“以前我也是不看隱私條款����,有一次仔細閱讀才發(fā)現,要收集的個人信息實在是太多了�����。”王文元說����。
王文元告訴經濟導報記者,此前他曾使用的一款APP要收集的個人信息竟然包括賬號名稱��、昵稱����、密碼、密碼保護問題�、電子郵件地址、淘寶賬號�、支付寶賬號、微信、QQ���、車輛品牌���、車牌號碼、車輛識別代碼�、發(fā)動機號、機動車駕駛證���、住宿信息����、行程信息����、支付信息等一大堆。“更關鍵的是�����,該APP的研發(fā)者還會將這些信息提供給第三方�,并允許間接向第三方提供相關信息。”
實際上�,今年3月份18日�����,本報刊發(fā)的《“咪咕視頻”到底要多少權限?手機APP向用戶過度索權,能監(jiān)控所有應用的啟動》�,就曾報道過APP過度索權的問題。
當時的報道以經濟導報記者手機為例:手機內一共有109個APP���,這些APP都要擁有的權限包括但不限于發(fā)送彩信�、獲取手機信息(手機號碼�����、IMEI�、IMSI權限)、讀取手機中已經安裝的應用列表�、讀寫手機存儲以及后臺彈出界面。此外���,有94個APP要求定位和拍照�、錄像和閃光燈等權限;93個要求開啟或關閉WiFi的權限;87個要求可以修改系統(tǒng)設置;75個要通話錄音和本地錄音;58個要求獲取手機賬戶;56個要求可以讀取聯系人;46個要求可以直接撥打電話……
“沒有人愿意用隱私來換取便利�����,這些隱私信息確實都是我們在下載安裝APP時同意授權的,但并不都是心甘情愿的�,因為你不選‘同意’就無法使用。在這個時代很難想象一個人在生活中完全不使用手機APP���。”王文遠說���。
應用規(guī)范出爐
不過,APP過度索權的這種情況即將被終結���。
經濟導報記者注意到��,《規(guī)范》指出�,APP收集信息遵循權責一致��、目的明確�����、最少夠用����、選擇同意、公開透明����、確保安全6個原則��。依據個人信息收集最少夠用的原則����,《規(guī)范》給出了16類APP實現基本業(yè)務功能可收集的必要信息范圍�����。
針對即時通訊����、社區(qū)社交�、金融借貸類APP,《規(guī)范》也整理出了實現APP基本業(yè)務功能需要手機的必要信息���,同時要求上述三類APP“不應強制讀取用戶通訊錄”�����。
《規(guī)范》顯示�����,即時通訊社交類APP要實現基本業(yè)務功能��,需要收集的必要信息包括手機號碼���、賬號信息�、好友列表����、好友信息、群列表�����。但《規(guī)范》要求���,此類APP收集好友列表����,僅用于建立和管理用戶在即時通訊社交應用的聯系人關系���,應允許用戶在即時通訊社交應用中手動添加好友��,而不應強制讀取用戶的通訊錄����。
“這個應該屬于技術文件,不是國家標準����,沒有強制約束力,但是對于‘必要信息’的規(guī)定非常具體�����,針對不同類型的應用軟件�,規(guī)定了必要信息的具體范圍���,這對于監(jiān)管部門的監(jiān)管會有很大的參考作用�����。”劉華星說�。
在劉華星看來���,“未來還應出臺專門的個人信息保護法��,對個人信息保護的規(guī)定加以細化��。”
劉華星告訴經濟導報記者�,很多互聯網公司的數據管理員,在數據安全意識尤其是保護個體數據安全意識上�����,邊界意識較差�����。什么數據可以用���,什么數據可以搜集��,對個人數據使用到什么程度���,泄露后怎么處罰等,都沒有相應的認知和具體的規(guī)范要求���。未來��,需要加強執(zhí)法力度�����,“除了大幅提升對違法違規(guī)企業(yè)的懲罰力度�,還需制定APP過度索權的評估標準和打造有力的監(jiān)管體系。”
“此外����,網站平臺收集和使用用戶信息,應當遵循‘合法����、正當、必要’三原則���。對收集到的用戶信息應當采取安全保護措施�,一旦發(fā)生泄密��,必須及時采取補救措施����,否則都可能面臨行政處罰或者用戶的訴訟�����。”劉華星表示。 |
